Microsoft Teams – Update September 2021 zur Umsetzung der Aufbewahrungspflichten

Es wird immer mehr über Microsoft Teams gearbeitet und somit auch, wie man oder ob man überhaupt Aufbewahrungspflichten in Microsoft Teams umsetzen kann. Danach stellt sich die Frage, ob Microsoft Teams mit aufbewahrungspflichten Daten überhaupt genutzt werden darf und Microsoft Teams damit überhaupt Enterprise ready ist.

Aufbewahrungspflichten

Es bestehen gesetzliche Aufbewahrungspflichten zum Beispiel in § 147 AO und § 238 HGB. Diese müssen entsprechend der digitalen Kommunikation nicht nur in und mit E-Mails, sondern auch mit dem Teams Chat umsetzen lassen müssen. 

Umsetzung bei Microsoft Teams

 

Voraussetzung

  • Microsoft 365 E5 oder M365 E5 Add-on
  • Regulatory Record mit einem oder mehrere Label
  • Schulung der MitarbeiterInnen

Maßnahmen zur Umsetzung

Es bestehen verschiedene Maßnahmen der Umsetzung, die jeweils auch unterschiedliche Funktionen bieten

  • Retention Policies
  • Retention Label
  • eDiscovery Core + Advanced 

Ein Nachteil wird schnell in einer Tabelle sichtbar

Werkzeug Retention Kann aufbewahren Nachteil
Retention Policies Retention Policies wirken auf den Ort auf den diese angewendet werden.  immer auf den Ort bezogen: 

  • Teams Kanalchat
  • Teams 1 zu 1 Chats
  • SharePoint Sites in Teams +private Kanäle
  • Gruppenpostfächer

Damit greifen Retention Policies auch bei der mobilen Nutzung, wenn der Ort mit einer Policy belegt ist.

Es ist keine Aufbewahrung per Item möglich. Weiterhin greifen die Policies aktuell nicht für

  • Planner
  • Whiteboard
  • Giphys
  • Microsoft Apps wie Praise
  • alle 3rd Party Apps

Keine Regulatory Retention möglich

Retention Label Retention Label können per Autolabeling angewendet werden oder als Standardlabel in einer SharePoint Lists und Dokumentenbibliothek und auch auf einzelne Dateien und Emails.

Es gibt die Regulatory Record Retention.

Es kann aufbewahrt werden: 

  • einzelne Dateien
  • einzelne Emails
Retention Label können nicht auf einzelne Chats im 1 zu 1 und im Kanalchat angewendet werden. Die Anwendung in der Teams UI ist auch nicht möglich. Mobil ist die Anwendung ebenfalls nicht möglich auch nicht mit den Office Apps.
eDiscovery Core eDiscovery ist ein Legal Hold auf  Es kann aufbewahrt werden:

  • Dateien
  • Emails
  • Teams Chats im 1 zu 1 und Kanal
  • SharePoint Sites inkl. private Channels
Die eDiscovery ist kein Aufbewahrungswerkzeug. Die Gefahr, dass ein Case gelöscht wird und der Aufwand für wenige Personen mit den hohen Rechten ist nicht händelbar.

Retention Policies-Orte

Gemeinsam geht in Bezug auf Microsoft Teams:

  1. Teams Chats und Teams channel Messages 
  2. Teams private channel messages
  3. Microsoft 365 Groups / ggf. SharePoint Sites

Somit müssen mindestens drei Policies erstellt werden. wenn man weiter filtern möchte müssen um so mehr Policies erstellt werden.

 

Bewertung und Diskussion der Maßnahmen

Im Ergebnis kann man auf folgende positive und negative Punkte abstellen: 

Positiv

  • Regulatory Record ist für Dateien möglich (z.B. Rechnungen und Dienstleistungsscheine)
  • Aufbewahrung überhaupt möglich

negativ

  • Retention Policies ohne Regulatory Record
  • Autolableing mit Regulatory Record nicht möglich
  • UI in Teams nicht auf Retention optimiert, großteils nicht möglich
  • mobile Nutzung fast unmöglich
  • keine Chats GobD konform aufzubewahren

Aufbewahrung auch GobD konform möglich in Teams?

nein

  • Chats 1 zu 1
  • Chat Kanal
  • Funktionen, Apps und Erweiterungen, die nicht aufbewahrt werden können
    • z.B. Planner

ja

  • Dateien 
  • Emails 

Konsequenzen daraus sind damit eindeutig. Es ist nicht möglich mit Microsoft Teams insgesamt GobD konform mit nativen Funktionen zu arbeiten. 

Möglichkeit zu Retention Policies doch als GobD konform?

Es könnte aber sein, dass die Retention Policies nun doch für die GobD ausreichen. Denn Dateien werden nur in einem versteckten Bereich gespeichert, auf die der Nutzer zunächst keinen Zugriff hat und die Administratoren nur über die eDiscovery, aber nicht direkt die Daten dort ändern können.

Die Voraussetzungen für die GobD sind wie folgt bestimmt:

  • Vollständigkeit (§ 146 Absatz 1 AO, § 239 Absatz 2 HGB)
  • Richtigkeit (§ 146 Absatz 1 AO, § 239 Absatz 2 HGB)
  • Zeitgerechte Buchungen und Aufzeichnungen (§ 146 Absatz 1 AO, § 239 Absatz 2 HGB)
  • Ordnung (§ 146 Absatz 1 AO, § 239 Absatz 2 HGB)
  • Unveränderbarkeit (§ 146 Absatz 4 AO, § 239 Absatz 3 HGB)

Schaut man sich nun die Aufbewahrung nach GobD mit der Retention Policy an, so ist die Aufbewahrung mit diesen vollständig, richtig, ungenau aber noch zeitgerechte Aufzeichnung, ordnungsgemäß und unveränderbar, wenn man die Regeln nicht 100% streng annimmt. Theoretisch in einer strengen Auslegung sehe ich es kritisch im Bereich der Unveränderbarkeit und der zeitgerechten Aufzeichnung und Aufbewahrung, die im Zweifel nur technisch begründet weit über den eigentlichen Zweck hinausgeht und so wieder problematisch aus der Sicht des Datenschutzes. 

Die Krux mit dem Teams Chat

Der Microsoft Teams Chat wird für immer mehr Themen und Szenarien eingesetzt. Die Email wird somit immer weniger genutzt. Jedoch wird so der Teamschat im Kanal und 1 zu 1 auch für Szenarien eingesetzt, die der GobD unterfallen und entsprechend für einen Zeitraum aufbewahrt werden muss. 

Der Teams Chat lässt sich vom Nutzer im einzelnen nicht extrahieren in eine SharePoint Site und mit Regulatory Record belegen und auch nicht in Teams mit einem Label versehen. Es greift nur der große Hammer der Retention Polcies, der gleich alle Chats des Nutzers aufbewahrt und somit auch die, die nicht aufbewahrt werden sollten, wie Bewerbungen und Betriebsratskommunikation. Es ist auch nicht möglich pro Chat einen eigenen Zeitraum zu wählen, so dass weder kürzer noch längere Aufbewahrung nicht möglich ist. Ebenso ist es nicht möglich, dass ein Teams Chats je nach Event auch im Zeitraum verkürzt oder verlängert wird. 

Nun könnte man die eDiscovery noch einsetzen, um einzelne Chats abzusichern und aufzuheben. Dies muss jedoch als Case angelegt werden und kann nur von der berechtigten Rolle durchgeführt werden. Der Aufwand ist unpraktisch, zu hoch und das Werkzeug nicht dafür gedacht.

Im Ergebnis ist der Teams Chat im Kanal und im 1 zu 1 Chat nicht geeignet für eine GobD konforme Aufbewahrung.

Gesamtergebnis

Im Ergebnis muss festgestellt werden, dass Microsoft Teams nicht zu 100% Enterprise-Ready ist. Es können nicht alle Funktionen und Apps entsprechend abgesichert werden. Die Nutzung von Retention Policies ist nicht als unkritisch zu sehen. 

Deshalb sollte Teams nicht für alle GobD relevante Kommunikation eingesetzt werden, wie die Übermittlung von Dienstleistungsscheinen oder den Abschluss von Verträgen. Es ist ratsam auch noch weiterhin auf die klassische E-Mail oder den Postweg zu setzen; das Fax scheidet aus. 

Links:

https://www.bundesfinanzministerium.de/Content/DE/Downloads/BMF_Schreiben/Weitere_Steuerthemen/Abgabenordnung/2019-11-28-GoBD.html